pk10计划-DevOps工具只是企业安全难题的一小部分

工具,文化和其他热门话题是pk10今年关注的焦点然而,安全仍然是表面下的关注的暗流。幸运的是,一些发言者解决了这个问题,并为大型组织提供了见解和最佳实践,这些大型组织希望在不忽视安全和风险管理目标的情况下为团队调动DevOps。

联合医疗集团Optum分部的高级IT主管Phil Lerner提供了一个独特的视角,从壕沟中的持续安全监控。UHG最近决定同时采用云计算和DevOps,这是一个大胆的举措,由于平台和方法之间的协同作用,这是有意义的。作为高度监管,守规意识的行业的一部分,该组织首先将安全性放在两项举措中。

“我们正在为云计算带来良好,稳固的安全基础架构实践,pk10并使用尽可能少的工具为管道提供便利。这使安全性成为了的最前沿但我们一直在寻找风险,确定威胁级别,记录和监控。我们在区域之间建立了大门,并且真正采用网络安全方法来管理管道周围的环境。“

在勒纳看来,将的倾向并不一定是最好的方法。UHG方法不是试图彻底改造企业,而是专注于优化流程并根据需要添加特定功能。“对我而言,这更多的是关于企业文化和使用我们在企业中知道的工具,并利用它们的端对端。我们知道如何很好地管理它们。我们围绕它们进行创新,推动我们的供应商构建API,以便在虚拟安全领域进行创新。“在UHG拥有约10,000名IT专业人员的团队中,有大约1000名IT安全专家的工作人员,使用Dev,Ops和Sec已经知道的工具来使用DevOps确实很有意义。

Akamai的工程总监Matthew Barr提到了各种规模的组织应遵守的典型最佳实践。pk10构建应用程序以防止未经授权的访问是一件容易的事。“我们不会将密码发送给任何不属于活动目录服务器的密码。您不希望在应用程序端使用LDAP,因为那样您就不必担心可能会重复使用的凭据。“他进一步谈到了Atlassian最新的SSO选项以及它们如何在整个应用程序堆栈中为企业提供更高的安全性。

但随着虚拟和远程团队越来越受到企业的欢迎,有时会出现新的担忧,有时会被忽视。有些人可能没有意识到,你会看到笔记本上实际设置的提交者用户名和电子邮件。只要你喜欢,你可以改变它。服务器不认证该信息。如果没有使用GPG密钥来签署提交,那么就没有证据显示实际上是写了什么东西。“这与svn或Perforce有所不同,在这种情况下,假定提交代码的人实际上是列出提交者是合理的准确。Matthew描绘了一个可以在代码中发现后门的场景。当安全性寻找罪魁祸首时,他们会在Git存储库中找到一个名称 - 但他们无法确定这实际上是否是插入恶意代码的人。设置一个可怜的秋季来实现这一点太容易了。pk10这只是DevOps团队变得更加分散的风险管理方式之一。

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:http://www.buaamba.net/a/pk10jiqiao/138.html